Забезпечення інформаційної безпеки США

Основними ключовими передумовами для посилення кібербезпеки в США визначено:

1) курс на збільшення інвестицій в інфраструктури і проекти (до яких можна віднести і комп'ютерну інфраструктуру), що надасть можливість забезпечити держзамовленнями американську IT-індустрію. Окрім того, у США відбувається процес боротьби між правовласниками та комп'ютерними піратами, що позбавляють компанії, які працюють інфомедійній сфері, традиційного рівня прибутковості, у свою чергу, зумовлює активну участь держави у процесі захисту великих компаній;

2) США дійсно відчувають зростаючу активність хакерів. За даними сайту "america.gov", у 2006 р. лише сайт Міністерства оборони США піддавався атаці 6 млн разів, а в 2009 р. кількість таких спроб зросла до 360 млн. разів.

29 травня 2009 року було оприлюднено "Огляд з кібербезпеки" (Cyber Security Review), що мав на меті "виробити стратегічну основу кіберініціатив Уряду США". У цьому Огляді, до ключових завдань керівництва США у сфері кібербезпеки віднесено: забезпечення центральної ролі Білого Дому у формуванні кібербезпекової політики з метою продемонструвати аудиторії як усередині США, так і міжнародним партнерам серйозність намірів американського керівництва у сфері кібербезпеки; перегляд законодавства та політики у сфері кібербезпеки; посилення федерального законодавства та відповідальності у сфері кібербезпеки; просування інформаційних проектів державного, регіонального та локального рівня.

Крім того, у цьому документі окреслено ключові завдання, спрямовані на посилення кібербезпеки США, а саме: підвищити готовність суспільства до кіберзагроз; посилити кібербезпекову освіту, збільшити кількість федеральних працівників з підготовкою у сфері інформаційних технологій; просувати кібербезпеку як важливий елемент відповідальності урядів усіх рівнів.

Свої основні погляди на проблему кібербезпеки Б. Обама виклав у "Зауваженнях щодо забезпечиш безпеки національної кіберінфраструктури" 2009 р.^[3]. У них він робить висновок про те, що "...кіберзагрози є одними з найбільш серйозних викликів економічній та національній безпеці, з яким зіткнулася нація". З огляду на це, Б. Обама оголосив цифрову інфраструктуру США "стратегічною національною цінністю", а захист цієї інфраструктури - національним пріоритетом.

Окреслено також основні напрями, спрямовані на вирішення означених вище проблем: розроблення ефективної стратегії забезпечення безпеки інформаційних та комунікаційних мереж; розроблення систем попередження та реагування на кібератаки; посилення партнерства між державою та приватним сектором; збільшення інвестицій в іноваційні технології для інформаційної інфраструктури; початок масштабної національної кампанії щодо посилення готовності суспільства до протидії кіберзагрозам^[4].

На початку березня 2010 року Президентом США була затверджена чергова "Ініціатива зі всеосяжної національної кібербезпеки" Ради національної безпеки США, яка складається з дванадцяти загальних положень, реалізація яких дозволить захистити країну та уряд від кібератак та хакерів. Ця ініціатива є складовою частиною розділу Воєнної доктрини США, що стосується кібернетичної оборони.

Документом передбачено створення єдиної федеральної мережі, пов'язаної захищеними каналами зв'язку. Зв'язок цієї захищеної мережі має здійснюватися через контрольовані точки доступу. Окрім того, Ініціатива передбачає об'єднання всіх 6 наявних у США центрів оперативного реагування на кіберзлочини з метою підвищення ефективності їх діяльності та проведення більш глибокого аналізу хакерських атак.

Також, з метою протидії іноземним кібершпигунам документом передбачено створення підрозділів кіберконтррозвідки, яка поширить свій вплив на всі державні органи США, захист таємних внутрішніх мереж Міноборони США від терористичних атак.

Передбачено створення системи управління ризиками для прогнозування наслідки злому систем, викрадення або пошкодження інформації та мінімізації втрат від таких протиправних втручань АНБ та його партнери з приватного сектору нацбезпеки США розробили план спільних заходів протидії загрозам, які стоять перед неурядовими комп'ютерними мережами. Таким чином держава буде приймати участь у захисті ключових приватних інфраструктурних мереж (телекомунікації, електромережі, мережі банківських розрахунків, інтернет-провайдери). Запровадження комплексу раннього опущення про спроби несанкціонованого доступу ("Ейнштейн-2"). Паралельно відповідно до директиви Президента США №54-2008 р. передбачено розробку системи "Ейнштейн-3".

Стратегія кібербезпеки США 2011 р., запропонована Президентом США Б. Обамою, якою передбачено право США приймати заходи у відповідь на ворожі дії у кіберпросторі, розглядаючи їх як будь-які інші загрози. Тобто, хакерські атаки прирівняні керівництвом США до оголошення війни.

Стратегія передбачає багато різних аспектів від міжнародних прав і свобод до питань управління та проблем силових структур.

В кінці квітня 2012 року Сенат США прийняв Закон CISPA ("Cyber Intelliggence Sharring and Protection Act"), який дозволить Уряду США, приватним агентствам безпеки та будь-яким приватним компаніям за наявності підозр про вчинення кіберзлочину отримати доступ до конфіденційної інформації користувачів і комерційних організацій.

Таким чином, події 11 вересня спричинили трансформацію уявлень як про національну безпеку в цілому, так і про ІБ як її ключову складову, зокрема, відбулося формування нової парадигми національної безпеки, США, яка грунтується на усвідомленні повної залежності національної інфраструктури від інформаційних систем та мереж країни.

Щодо законодавства окремих штатів, то з урахуванням того, що правовідносини в інформаційній сфері США урегульовані нормами переважно федеральних законів, на нашу думку, необхідно звернути увагу в першу чергу на законодавство про кримінальну відповідальність за злочини в інформаційній сфері.

При цьому серед головних його ознак слід виділити, насамперед, варіювання, адже кримінальні кодекси штатів дуже різняться між собою.

Так, зокрема, деякі штати пов'язують кримінальну відповідальність із розмірами завданих збитків у грошовому еквіваленті (Юта, Техас, Коннектикут тощо). В інших штатах кримінальна відповідальність настає навіть за відсутності матеріальних збитків, зокрема, у випадках несанкціонованого доступу до конфіденційної інформації (Невада, Вірджинія, Нью-Йорк), результатів медичного обстеження (Нью-Йорк, Вірджинія), даних щодо трудової діяльності, заробітної платні, наданих кредитів та приватних справ (Вірджинія).

Відповідно до законодавства штату Юта, одним з найефективніших критеріїв визначення покарання за вчинене правопорушення є розмір заподіяної (чи такої, що могла бути заподіяна) шкоди, адже він дозволяє легко розмежувати випадки цивільно-правової, адміністративної та кримінальної відповідальності.

У Кримінальному кодексі штату Юта окреслено два основні напрямки злочинних дії, що об'єднуються загальним терміном "комп'ютерні злочини". По-перше, це продаж заборонених телекомунікаційних пристроїв чи їх компонентів (ст. 76-6-409.8). По-друге, це злочинне використання технічних можливостей комп'ютера (ст. 76-6-703). Обидва види злочинів віднесено до другого, особливо небезпечного, типу. Законодавець зобов'язав генерального прокурора, прокурорів штату та округу порушувати кримінальну справу у випадках, коли існує достатньо даних, що вказують на наявність ознак вчинення кримінального правопорушення у сфері застосування комп'ютерної техніки (ст. 76-6-704.1).

Покарання за злочини в інформаційній сфері також відрізняються у різних штатах. Зокрема, в штаті Джорджія за порушення права доступу до інформації в деяких випадках особі може бути призначене покарання у вигляді ув'язнення терміном до 15 років. В якості кваліфікуючої ознаки злочину закони деяких штатів передбачають умисність протиправних дій. Однак, слід підкреслити, що оскільки задум щодо вчинення таких дій дуже складно довести, то цей пункт може стати суттєвою перешкодою для притягнення до кримінальної відповідальності за комп'ютерні злочини у Каліфорнії, Делаварі, Флориді, Канзасі, Меріленді та Мінесоті.

Разом з тим, не зважаючи на велику кількість нормативно-правових актів США в сфері ІБ, вони не завжди є ефективними. Законодавство США ще не відповідає масштабу загроз в інформаційній сфері країни, існуючих на сучасному етапі. Тому потреби протидії злочинності в сфері новітніх ІТ- технологій - захист елементів критичної інфраструктури від кібертерористів, а користувачів інформаційних систем від шахрайства, забезпечення конфіденційності інформації в інформаційних системах, захист прав інтелектуальної власності - визначають необхідність подальшого розвитку та удосконалення існуючого нормативно-правового регулювання ЗІБ країни.

Размещено на Allbest.ru